Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner/Virus/Malware von Kaspersky u.a. nicht erkannt! (https://www.trojaner-board.de/46531-trojaner-virus-malware-kaspersky-u-a-erkannt.html)

Voronoi 02.12.2007 10:38
Trojaner/Virus/Malware von Kaspersky u.a. nicht erkannt!
 
Hallo liebe Trojaner-Profis,
vielleicht könnt ihr mir helfen.
Ich habe zwar Informatik studiert, aber im Moment bin ich an meinen Grenzen angelangt.

Seit ca. einer Woche wechselt beim momentan aktiven Fenster immer mal wieder der Fensterzustand von aktiv(Fokus) auf passiv(hellere Fensterumrandung). Das nervt sehr. Ich denke irgendein Prozess im Hintergrund reisst den Fokus an sich.
Dieses hin un her äußert sich manchmal sogar als schnelles Hin- und Herflimmern der Fensterumrandung (dunkelblau<-->hellblau).
Vor zwei Tagen bemerkte ich dann plötzlich, dass mein Antivir gar nicht mehr da ist (kein Icon mehr nur noch Datei-Reste). Ausserdem wurde der Sicherheitscenter und alle angeschlossenen Dienste (Firewall, Antiviruswächter, Updates) deaktiviert.

Ab diesem Moment war klar, dass ich mir was Übles eingefangen habe. Nur wie? Es muss also mein stehts aktuelles Antivir überlistet haben.

Zu meiner Konfiguration:
Windows XP Prof. SP2 und ziemlich alles Updates bis letzte Woche (außer IE7 und WGA)
Rechner hängt hinter einem Router(Fritzbox) mit folgenden offenen Ports:
Emule TCP 60616, UDP 57297
VPN ESP und VPN IKE UDP 500 (für meine VPN Verbindungen)

Emule lief in letzter Zeit verstärkt, möglicher Trojaner-Zugang ?!?

Nach dieser Analyse versuchte ich nach den Tipps aus diesem Forum vorzugehen und habe verschiedene Antiviren-Proggis installieren wollen. Bei allen Proggis verweigert das Betriebssystem die Installation der Hauptdateien.

Nach genauerem Hinsehen passiert Folgendes:
Ich erstelle einfach irgendwo eine neue Textdatei namens "bla.bla" , dann nenne ich sie einfach in z.B. "guard.exe" (Wächter von AVG Anti-Spyware) um, sie wird sofort gelöscht. Dies passiert mit allen Dateien mit Namen aus Antiviren / Antispyware-packeten ---> Respekt vor dem Entwickler dieses Biestes !!!

Okay trickreich wie ich bin habe ich auf einem anderen sauberen System AVG Anti-Spyware installiert. Dort die "guard.exe" kopiert, umbenannt, schreibgeschützt und im infizierten System reinkopiert. Sie bleibt erhalten solange sie schreibgeschützt ist !!!

Okay AVG läuft ! --> Updates sind allerdings nicht möglcih, da somit die "guard.exe" durch eine neue nicht-schreibgeschützte überschrieben wird, die ist dann sofort wieder weg.
Manuelle Updates mit den Signaturfiles klappt, dann neue "guard.exe" vom anderen System wieder dazu. Ich hoffe dann werden auch die neuen Signaturen benutzt ??? Denn das Proggi zeigt an, dass noch keine Updates gemacht wurden.
Ein Systemscan zeigt keinerlei Trojaner etc.

Okay danach habe ich eine Online-Scan von Kaspersky mit aktuellen Updates durchgeführt --> Systemweit --> gefunden wurden einige W32.Bagle.gi Trojaner in C:\Windows\exefld\*.exe neuesten Datums --> konnte ich löschen, denke aber das diese durch den eigentlichen Schädling heruntergeladen wurden. z.B. 35113156.exe.
Auch nach dem Löschen dieses Ordners füllt sich dieser stündlich mit neuen Leckereien !!!

Ich kann einfach den verantwortlichen Prozeß nicht finden, alle Tools scheitern.

Ach nochwa wichtiges: Der Abgesicherte Modus ist nicht möglich. Bereits beim booten (sehr früh) nach der Auswahl des abgesicherten Modus startet der PC neu. Und zwar kommt noch die Frage ob spdt.sys geladen werden soll, egal ob ich ja oder nein auswähle --> im nächsten Moment kommt der Naustart.

Es gibt auf dem Rechner zwei Konten, beide mit Admin-Rechten: der Administrator selbst und "mein Name" beides mit Passwort.

So jetzt kommt noch das HJT-Log, meiner Meinung nach nichtsaussagend.
Für die Zeile Service: AVG Anti-Spyware Guard - Unknown owner - C:\Programme\Spiel\guard.exe bin ich verantwortlich, damit wollte ich den AVG besser verstecken.

HJT-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:52:06, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Spiel\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spiel\avgas.exe
C:\Programme\LeechGet 2007\LeechGet.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Spiel\avgas.exe" /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NETGEAR ProSafe VPN Client.lnk = C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Programme\Spiel\guard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7187 bytes
Des Weiteren gibt es immer sehr viele svchost.exe Prozesse und der IEXPLORE.EXE zieht viel Ressourcen auf sich ohne das ich den IE benutze.

Beim beenden eines speziellen svchost-Prozesses komt ne Box und Windows wird in 40 sek heruntergefahren.

Bitte, bitte helft mir !!

System neu aufzusetzen wäre keine Hilfe sondern die Kapitulation vor dem Schädlings-Entwickler.

Vielen Dank schon mal im Vorraus.

Gruß

Marco

Voronoi 02.12.2007 11:13
Liste der Anhänge anzeigen (Anzahl: 2)
Neueste Erkenntnisse:

Der Security Task Manager von Neuber scheint eine gute Sache zu sein.
Er erkennt einen bösen Prozess : C:\Windows\system32\wintems.exe

Die Datei ist im Explorer nicht sichtbar, trotz Anzeige versteckter Dateien.

Ich konnte sie dennoch zu "Virustotal" hochladen.... und schau an total verseucht.
siehe jpg-Dateien im Anhang !!!

Mich wundert nur sehr, dass jeder Virenscanner etwas anderes meldet.

Gibt es ein Removal-Tool ? Die Datei lässt sich mit dem Security Task Manager löschen bzw. ich halte Sie in Quarantäne.

Aber das Problem ist nicht behoben. Weiterhin sind keine Antiviren-Tools installierbar. Das Beispiel mit der "guard.exe" besteht weiter.

Hilfe !!!

Voronoi 02.12.2007 11:44
Aktuelles:

Bitte beschwerd euch nicht, dass ich mich hier alleine unterhalte, aber das Problem soll ja dienlich für die Nachwelt sein.

Also, habe mir jetzt schnell die Vollversion des Security Task Managers gekauft.
Das Ding ist 100 besser als der übliche Mist.

Es wurde ein böser Treiber gefunden:
C:\Windos\System32\drivers\srosa.sys --> Analyse zeigt einige Beagle-Einträge und anderes

....

Rene-gad 02.12.2007 18:48
@Voronoi
Du wurdest bestimmt von einem der Bagles/Beagles befallen.
Zitat:
Also, habe mir jetzt schnell die Vollversion des Security Task Managers gekauft.
Das Ding ist 100 besser als der übliche Mist.
Wat is dat???
Zitat:
Es wurde ein böser Treiber gefunden
Wie viel hat er nicht gefunden?
Lange Rede - Kurzer Sinn (F.Schiller): System neu aufsetzen ist das einzig Sinnvolle, was man dir vorschlagen kann: http://www.trojaner-board.de/12154-a...sicherung.html
Alternativ nach Lust und Laune kannst du dir noch den Link AVZ4 in meiner Signatur anschauen, aber IMO im VI hat man mir Beagles nicht so große Erfahrungen gesammelt.

Voronoi 02.12.2007 20:51
Hallo Rene-gad,

also ich habe mein System wieder wunderbar sauber bekommen! :)

Hatte in der Tat eine Kollektion von Bagles/Beagles drauf.

Geholfen hat letztendlich hauptsächlich der Security Task Manager
Security Task Manager - Windows XP process viewer

Damit werden versteckte aber dennoch übliche Prozesse strukturell untersucht und man kann bei gefährlicher Einschätzung einfach die Datei auf "virustotal.com" scannen lassen.

Die entsprechenden üblen Dateien waren nämlich aus Windows heraus nicht in einem Explorer sichtbar, trotz eingestellter Anzeige für versteckte Dateien.

Hilfreich war auch eine Caldera Dr-DOS Boot-CD, damit konnte ich im NTFS Dateien löschen un kopieren.

Nachdem dann das Rootkit entfernt war konnte ich die 50 Viren-Dateileichen wieder mit normalen Antivirus-Proggis aufspüren.

Noch ein heisser Tipp: Das Anti-Rootkit-Tool von www.gmer.net ist für etwas erfahrene Leute echt super, es zerstört nicht nur Rootkits, es kann auch beschädigte Ursprungsdateien wieder säubern.

Also Fazit:

Neuaufsetzen ist was für Lutschies !!!
Ich ziehe gerne wieder in die Schlacht !!!

Machts gut zusammen.

cosinus 02.12.2007 21:00
Zitat:
Neuaufsetzen ist was für Lutschies !!!
Ich ziehe gerne wieder in die Schlacht !!!
So, dann lies dir mal bitte das hier durch. Den Beweis eines Backdoorbefalls hast du, die Möglichkeit, dass ein Angreifer eine wesentlich besser versteckte Hintertür eingebastelt hast, ist somit gegeben.

Voronoi 02.12.2007 21:08
:daumenhoc Na da hast du ja die richtigen Typen gefragt!!!

Wenn das jemand qualifiziertes sagen würde, wäre das bestimmt für die meisten Leute zutreffend. :party:

cosinus 02.12.2007 21:29
Und was willst du mir damit jetzt sagen? Dass du den Artikel nicht gelesen oder verstanden hast? :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131